Scarcruft olarak bilinen Kuzey Kore bağlantılı tehdit aktörünün, daha önce hiç görülmemiş bir Android gözetim aracının arkasında olduğu söyleniyor. Kospy Koreli ve İngilizce konuşan kullanıcıları hedeflemek.
Kötü amaçlı yazılım kampanyasının ayrıntılarını paylaşan Lookout, en eski sürümlerin Mart 2022’ye kadar uzanması. En son örneklerin Mart 2024’te işaretlendiğini söyledi. Bu çabaların ne kadar başarılı olduğu açık değil.
Bir analizde, “Kospy, dinamik olarak yüklenen eklentiler aracılığıyla SMS mesajları, çağrı günlükleri, konum, dosyalar, ses ve ekran görüntüleri gibi kapsamlı veriler toplayabilir.” Dedi.
Kötü niyetli artefaktlar, şüpheli kullanıcıları kendi cihazlarını enfekte etmek için kandırmak için Dosya Yöneticisi, Telefon Yöneticisi, Akıllı Yöneticisi, Yazılım Güncelleme Yardımcı Programı ve Kakao Security adlarını kullanarak resmi Google Play Store’da yardımcı uygulamalar olarak maskelenir.
Belirlenen tüm uygulamalar, arka planda casus yazılımla ilgili bileşenleri gizlice dağıtırken, şüphe uyandırmak için vaat edilen işlevleri sunar. Uygulamalar o zamandan beri uygulama pazarından kaldırıldı.
APT27 ve Reaper olarak da adlandırılan Scarcruft, 2012’den beri aktif olan Kuzey Kore devlet destekli bir siber casusluk grubudur. Grup tarafından düzenlenen saldırı zincirleri, esas olarak Rokrat’ı Windows sistemlerinden hassas verileri hassas bir şekilde toplamak için kullanıyor. Rokrat o zamandan beri MacOS ve Android’e uyarlandı.
Kurulduktan sonra kötü niyetli Android uygulamaları, gerçek komut ve kontrol (C2) sunucu adresini içeren bir yapılandırmayı almak için bir Firebase Firestore bulut veritabanıyla iletişime geçecek şekilde tasarlanmıştır.
İki aşamalı C2 yaklaşımı, Dead Drop Reserver olarak Firestore gibi meşru bir hizmet kullanarak hem esneklik hem de esneklik sunar ve tehdit aktörünün C2 adresini herhangi bir zamanda değiştirmesine ve tespit edilmemiş çalışmasına izin verir.
Lookout, “C2 adresini aldıktan sonra Kospy, cihazın bir emülatör olmamasını ve geçerli tarihin sert kodlanmış aktivasyon tarihini geçmesini sağlıyor.” Dedi. “Bu etkinleştirme tarih kontrolü, casus yazılımların kötü niyetli niyetini erken ortaya çıkarmamasını sağlar.”
Kospy, gözetim hedeflerini karşılamak için ek eklentiler ve yapılandırmalar indirebilir. C2 sunucuları artık aktif olmadığı veya istemci isteklerine yanıt vermediğinden eklentinin kesin doğası bilinmemektedir.
Kötü amaçlı yazılım, SMS mesajları, çağrı günlükleri, cihaz konumu, yerel depolama dosyaları, ekran görüntüleri, tuş vuruşları, Wi-Fi ağ bilgileri ve yüklü uygulamaların listesi dahil olmak üzere, tehlikeye atılan cihazdan çok çeşitli veri toplamak için tasarlanmıştır. Ayrıca ses kaydetmek ve fotoğraf çekmek için donanımlıdır.
Lookout, Kospy kampanyası ve daha önce Kimuky adlı başka bir Kuzey Koreli hack grubuna (AKA APT43) bağlı olan altyapı örtüşmelerini belirlediğini söyledi.
Bulaşıcı röportaj NPM paketleri olarak tezahür eder
Açıklama, Socket’in, bulaşıcı röportaj olarak izlenen devam eden bir Kuzey Koreli kampanyaya bağlı olan Beaverail adlı bilinen bir bilgi çalma kötü amaçlı yazılımını dağıtmak üzere tasarlanmış bir dizi altı NPM paketini keşfettiği gibi geliyor. Şimdi kaldırılmış paketlerin listesi aşağıdadır –
- IS-tam-validator
- Yoojae-Validator
- olay kaplaması
- Array-boş-validator
- Reaction-Olay-bağımlılığı
- Auth-validator
Paketler, sistem ortamı ayrıntılarının yanı sıra Google Chrome, Brave ve Mozilla Firefox gibi web tarayıcılarında depolanan kimlik bilgilerini toplamak için tasarlanmıştır. Ayrıca Kripto para cüzdanlarını, Solana ve Exodus’tan ID.JSON’u çıkaran Exodus’tan.
Soket araştırmacısı Kirill Boychenko, “Toplu olarak 330 kez indirilen altı yeni paket, Lazarus bağlantılı tehdit aktörleri tarafından geliştiricileri aldatmak için kullanılan tanınmış bir yazılış taktiği kullanan geniş güvenilir kütüphanelerin isimlerini yakından taklit ediyor.” Dedi.
“Ayrıca, APT Grubu, kötü niyetli paketlerin beşi için GitHub depolarını oluşturdu ve sürdürdü, açık kaynak meşruiyet görünümü ödünç verdi ve zararlı kodun geliştirici iş akışlarına entegre olma olasılığını artırdı.”
Kuzey Kore kampanyası Rustdoor ve Koi Stealer kullanıyor
Bulgular ayrıca, kripto para birimi sektörünü hedefleyen yeni bir kampanyanın keşfini izliyor ve Rustdoor (diğer adıyla Thiefbucket) adlı pas tabanlı macOS kötü amaçlı yazılım ve daha önce belgesiz bir macOS varyantı, KOI Stealer olarak bilinen bir kötü amaçlı yazılım ailesinin varyantını.
Palo Alto Networks Birimi 42, saldırganların özelliklerinin bulaşıcı görüşmeye benzerlikler taşıdığını ve faaliyetin Kuzey Kore rejimi adına gerçekleştirildiğine dair orta güvenle değerlendirildiğini söyledi.
Özellikle, saldırı zinciri, Microsoft Visual Studio aracılığıyla yürütüldüğünde Rustdoor’u indirmeye ve yürütmeye çalışan sahte bir iş görüşmesi projesinin kullanımını içerir. Kötü amaçlı yazılım daha sonra LastPass Google Chrome uzantısından şifreleri çalmaya, verileri harici bir sunucuya sunmaya ve ters bir kabuk açmak için iki ek bash komut dosyası indirmeye devam eder.
Enfeksiyonun son aşaması, Visual Studio’nun kurbanları sistem şifrelerini girmeye kandırması için taklit eden ve böylece makineden veri toplamasına ve söndürmesine izin veren başka bir yükün alınmasını ve yürütülmesini gerektirir.
Güvenlik araştırmacıları Adva Gabay ve Daniel Frank, “Bu kampanya, dünya çapındaki organizasyonların ağlara sızmak ve hassas verileri ve kripto para birimlerini çalmak için tasarlanmış ayrıntılı sosyal mühendislik saldırılarından kaynaklanan riskleri vurgulamaktadır.” Dedi. Diyerek şöyle devam etti: “Bu riskler, fail, tamamen finansal olarak motive olmuş bir siber suçla karşılaştırıldığında, ulus-devlet tehdit oyuncusu olduğunda büyütülüyor.”